IND²UCE Framework

Unsere verteilte Datennutzungskontrolle erlaubt es Ihnen, die Verbreitung und Verwendung Ihrer Daten über den ersten Zugriff hinaus zu kontrollieren und bietet dadurch einen Mehrwert im Bereich der Datensouveränität, des Datenschutzes und der Datensicherheit.

IND²UCE Framework

Das Sicherheitsframework IND²UCE macht Datennutzungskontrolle für Sie als praktische Anwendung nutzbar

Sie können durch Sicherheitsrichtlinien die gewünschte Datennutzung präzise und feingranular kontrollieren, wodurch ein souveräner Umgang mit Daten ermöglicht wird. Dabei können Sie einstellen, welche Ihrer Daten unter welchen Bedingungen wie oft gelesen, verändert, kopiert oder weitergeleitet werden dürfen.
 

Es bestehen dabei folgende Möglichkeiten:

spezielle (personenbezogene) Daten automatisiert zu anonymisieren,

Nutzungen nur auf bestimmten Geräten oder Geräteklassen (z.B. Dienstgeräte des Dateneigentümers) zu erlauben,

die Örtlichkeit bei der Datennutzung einzuschränken (z.B. nur innerhalb eines bestimmten Gebäudes oder innerhalb der Landesgrenzen).

Des Weiteren können Sie ausgewählte Daten nach einer genau definierten Anzahl von Tagen löschen bzw. unbrauchbar machen lassen. Unsere verteilte Datennutzungskontrolle erlaubt es Ihnen dabei, die Verbreitung und Verwendung Ihrer Daten über den ersten Zugriff hinaus zu kontrollieren und bietet dadurch einen Mehrwert im Bereich des Datenschutzes und der Datensicherheit.
 

Aufbau und Funktion

Das IND²UCE Framework (Integrated Distributed Data Usage Control Enforcement) besteht aus drei Schichten:

Durchsetzung von Sicherheitsrichtlinien,

Entscheidungsfindung und

Verwaltung des Frameworks sowie der Sicherheitsrichtlinien.

Im Zentrum des Frameworks steht eine generische Entscheidungs­komponente (Policy Decision Point, PDP), welche anhand von Sicherheitsrichtlinien über die Legitimität von sicherheitsrelevanten Ereignissen (bspw. Datenoperationen) entscheidet. Diese Sicherheits­richtlinien basieren auf dem Event-Condition-Action-Paradigma und erlauben zusätzlich die Verwendung der Obligation Specification Language (OSL). Mithilfe dessen können zukünftige Verbindlichkeiten spezifiziert werden (bspw. „Personenbezogene Daten müssen innerhalb von 14 Tagen gelöscht werden“ oder „Ohne Genehmigung des Vorgesetzten dürfen nur 10 Akten pro Stunde geöffnet werden“).

Mehr Informationen zum IND²UCE Framework finden Sie hierund auf der Website.

Anwendungsbeispiele

Das IND²UCE-Framework wurde bereits in unterschiedlichen Anwendungsfällen erprobt. Hier finden Sie weitere Beschreibungen und Videos.

Der Schutz sensibler Daten stellt Softwaredienstleister gerade bei der Zusammenarbeit mit internationalen Cloud-Anbietern vor neue Herausforderungen bezüglich der Einhaltung gesetzlicher Richtlinien, wie z. B. dem Bundesdatenschutzgesetz.

Im folgenden Video wird die Durchsetzung von Sicherheitsrichtlinien zur Kontrolle sensibler Daten in einem verteilten System anhand eines Bestellprozesses demonstriert. Hierbei kann ein Kunde ein personalisiertes Produkt (in diesem Fall einen Ausweis) bei einem Zwischenhändler bestellen, welcher je nach Produktanforderungen eine entsprechende Produktionsstätte beauftragt. Die Kontrolle über die ausgetauschten Daten obliegt hierbei dem Kunden, welcher seine Anforderungen an die Sicherheit durch entsprechende Sicherheitsrichtlinien spezifizieren kann. Er kann beispielsweise seinen Namen oder seine E-Mail-Adresse für die Produktionsstätte anonymisieren, um die unerwünschte Verbreitung von Kontaktdaten zu vermeiden. Zudem kann er die Produktion seines Auftrags reglementieren, wodurch der Händler den Auftrag nur ein einziges Mal an eine Produktionsstätte senden kann. Somit kann Plagiarismus vermieden werden. Bei der Produktionsstätte werden die Auftragsdaten je nach gewählter Sicherheitsrichtlinie direkt nach der Produktion oder aber spätestens nach einer vorgegebenen Maximaldauer gelöscht.

Zur Durchsetzung der gewählten Sicherheitsrichtlinien überwacht ein Policy Enforcement Point alle Nachrichten auf dem Enterprise Service Bus und kann diese je nach Entscheidung des Policy Decision Points zulassen, modifizieren oder verwerfen. Eine Leitidee ist die Integration von IND²UCE-Komponenten mit kleinstmöglichen Veränderungen am Softwaresystem.

Die steigende Popularität mobiler Endgeräte wie Smartphones oder Tablets, Initiativen wie „Bring your own device“ und die zunehmende Überlappung von privater und geschäftlicher Nutzung führen zu neuen Herausforderungen im Bereich der Datensicherheit und des Schutzes geschäftskritischer Daten.

Das folgende Video zeigt die Durchsetzung von Datennutzungskontrolle auf einem Android-Smartphone und verdeutlicht, wie auf dem Gerät befindliche Daten vor unerwünschter Nutzung und Verbreitung geschützt werden können. Beispielsweise kann die Datennutzung eingeschränkt werden, sodass Daten nicht beliebig oft oder nur innerhalb einer gewissen Zeitspanne geöffnet werden können. Anschließend wird der Zugriff verweigert, oder vertrauliche Bereiche der Daten werden anonymisiert. Da der gesamte Informationsfluss auf dem Smartphone verfolgt wird, gelten diese Sicherheitsrichtlinien auch für Kopien der Daten. Zudem können Apps abhängig vom aktuellen Standort (z.B. innerhalb des Firmengeländes oder außerhalb) gesperrt und diverse Funktionen des Smartphones eingeschränkt werden.

Ambient-Assisted-Living-(AAL-) Systeme unterstützen ältere Menschen in ihrer häuslichen Umgebung, indem sie Verhalten, Gesundheitszustand und Umgebungsinformationen überwachen, ohne aktiv in die gewohnte Lebensweise einzugreifen. Die bei der Überwachung erhobenen Daten werden gespeichert und zu höherwertigen medizinisch relevanten Ergebnissen aggregiert, mit deren Hilfe medizinisches Personal eine Verschlechterung des Gesundheitszustands des Patienten erkennen kann.

Es ist sofort ersichtlich, dass in diesem Rahmen viele personenbezogene Daten gespeichert, aggregiert und von verschiedenen Akteuren, wie beispielsweise Ärzten, Pflegepersonal oder Verwandten, genutzt werden. Bisher wurden bei solchen Systemen nur wenige Sicherheitsmaßnahmen implementiert. Das Fraunhofer IESE integriert Datennutzungskontrolle in reale AAL-Systeme, um eine ungewollte Nutzung personenbezogener Daten zu verhindern.

In dem gezeigten Szenario kann Pflegepersonal mithilfe eines Android-Smartphones Daten zur Gesundheitsüberwachung in der Wohnung abrufen. Wird die Wohnung des Patienten verlassen, lassen sich nur noch kritische Gesundheitsinformationen verarbeiten. Alle sonstigen Daten werden anonymisiert.

Mitarbeiter arbeiten häufig in wechselnden Arbeitssituationen, wie in Besprechungen, auf Dienstreisen in öffentlichen Verkehrsmitteln, im eigenen Büro, beim Kunden oder in ähnlichen Umgebungen. Bei der Verwendung von Smartphones in Unternehmen ist es deshalb von Vorteil, Sicherheitsrichtlinien stets der aktuellen Situation anzupassen. So könnte beispielsweise der Einsatz der Kamera in sensitiven Bereichen des Firmengeländes untersagt werden. Zudem dürfen in Besprechungsräumen aufgenommene Audiodateien nur innerhalb des Firmengeländes abgespielt, aber nicht verbreitet werden.

IND²UCE für Android unterstützt diesbezüglich eine automatische Aggregation von Sensorwerten zu einem übergeordneten Nutzungskontext, wie beispielsweise „Der Mitarbeiter befindet sich in einer Besprechung“. Diese Kontextbewertung erlaubt eine flexible Anpassung an die aktuelle Situation und vereinfacht das Spezifizieren der Sicherheitsrichtlinien immens.